
Opnieuw lek in ov-chipkaart
Een student uit Nijmegen heeft opnieuw de ov-chipkaart voor enkeltjes gekraakt, waardoor gratis reizen mogelijk is. Ook abonnementskaarten liggen weer onder vuur.
Een student uit Nijmegen heeft opnieuw de ov-chipkaart voor enkeltjes gekraakt, waardoor gratis reizen mogelijk is. Ook abonnementskaarten liggen weer onder vuur.

Opnieuw lek in ov-chipkaart
Een student uit Nijmegen heeft opnieuw de ov-chipkaart voor enkeltjes gekraakt, waardoor gratis reizen mogelijk is. Ook abonnementskaarten liggen weer onder vuur.
Roel Verduldt, een student aan de Radboud Universiteit Nijmegen, is erin geslaagd een ongeautoriseerde kopie van de ov-chipkaart te maken, zo demonstreerde hij voor RTL Nieuws op maandag.
"Het lijkt erop dat de beveiliging van het ov-chip project onvoldoende is voor een kritieke infrastructuur zoals het openbaar vervoer in Nederland," concludeert Verduldt in een onderzoeksrapport (pdf). "De betrokken partijen moeten deze bevindingen serieus nemen en ze gebruiken om het systeem te verbeteren. Het moraal van het verhaal is dat security by obscurity op de lange termijn niet werkt."
De hack treft de variant van de ov-chipkaart voor enkele reizen. Deze maakt gebruik van Mifare Ultralight versleuteling. Deze beveiliging is nog zwakker dan die van de Mifare Classic chips waar onderzoekers eind december zwakke plekken in de beveiliging aantroffen.
De onderzoeker bouwde voor 40 euro een speciaal apparaatje dat de communicatie van de chip afluistert en kopieert. Voor de reis kopieert de reiziger de gegevens van de chipkaart. Nadat er tegoed is afgeschreven overschrijft hij de gewijzigde gegevens waardoor het kaartje opnieuw recht geeft op twee reizen.
In zijn onderzoeksrapport claimt Verduldt dat de methode ook werkt voor de abonnementskaarten die gebruikmaken van de Mifare Classic chip van NXP, het voormalige Philips Semiconductors.
Deze week vindt in de Tweede Kamer een spoeddebat plaats over de beveiligingsproblemen met de ov-chipkaart. Trans Link, de producent van de chipkaart, heeft bovendien voor dinsdag ochtend een persconferentie belegd. Webwereld zal van beide evenementen verslag uitbrengen.
Goede info die we eigenlijk missen in het artikel
In die paspoorten zit dus ook TROEP, en dat is door alle betrokken partijen genegeert.
Staat er hier iemand bij stil dat dezelfde rotzooi ook in de nieuwe paspoorten zit ?
Nee, zo'n chipkaart (de Mifare Ultralight denk ik dat het om gaat) heeft een write-once functie, waarbij bits alleen van een 0 in een 1 zijn te veranderen en niet andersom. Zo kun je ervoor zorgen dat het aantal reizen alleen verlaagd kan worden en niet verhoogd of teruggezet.
De namaak-ov-chipkaart is een apparaatje dat uit een aantal losse onderdelen is samengesteld die samen de werking van de ov-chipkaart emuleren. In zo'n zelf ontwikkeld apparaat kun je de gegevens programmeren die je wilt. Het is echter vrijwel onmogelijk om het apparaat zo compact te maken dat het door kan gaan voor een gewone ov-chipkaart (de investering om een chip te ontwikkelen is zo hoog dat het alleen uit kan voor enorme productieaantallen).
Het lijkt me van niet. In iedere chipkaart wordt door de fabriek een uniek serienummer geprogrammeerd, dat je naderhand niet meer kunt veranderen. De ov-chipkaarten zullen in grote aantallen worden ingekocht, zodat de serienummers ervan binnen een beperkt aantal reeksen vallen. Dat is daardoor vrij eenvoudig voor een poortje te controleren. En als jij dus ergens blanco Mifare-kaarten koopt, hebben die dus een serienummer dat als ongeldig kan worden herkend.
Met die -eenmalige- uitgave van 40 euro, kan je eindeloos gebruik maken, niet slechts voor 0,75 euro. En dit is nog maar het eerste systeem. je geeft zelf later al aan dat het center of competency van security niet in Nijmegen zit. Als die dan zelfs al de beveiliging kunnen omzeilen, staat er vast nog meer te wachten...
Mag ik er vanuit gaan dat je, net als ik, dagelijks met RFID, smartcards en security bezig bent?
Een waterdicht systeem is best mogelijk maar veel te duur. De kosten van zo'n infrastructuur zijn vele malen hoger dan het verlies dat momenteel door fraude geleden wordt. En dat is het perspectief waarin je e.e.a. moet plaatsen. Ja Mifare is niet erg goed beveiligd maar het kost ook niet veel. En dat is belangrijk voor een wegwerpproduct waarvan er jaarlijks vele miljoenen gemaakt moeten worden.
Vergelijk het eens met de voordeur van je woning. Die is absoluut niet inbraakveilig, je zou hem eigenlijk moeten vervangen door een bankkluisdeur om echt inbraakveilig te zijn. Of vind je dat de huidige deur voldoet zolang een bankkluisdeur nog ettelijke tienduizenden euro's kost?
En er is ook geen 130 miljoen aan het Mifare kaartje uitgegeven, dat bedrag is uitgegeven aan het totale innovatie project waarvan het kaartje, waar hier sprake van is, slechts een heel klein deeltje is. Maar dat is niet wat de sensatie beluste reporter wil horen, dat verkoopt geen kranten.
Begrijp me goed, ik ben geen fan van Mifare maar er wordt momenteel wel heel veel ongenuanceerde nonsense geuit, en dat stuit me tegen de borst. We doen ons best een mooi systeem te ontwikkelen en een of ander studentje uit Nijmegen schrijft een zeer onvolledig rapportje zonder zich druk te maken over de achtergronden van het systeemt en de argumenten om dit systeem te kiezen. Dat het systeem niet waterdicht is was allang bekend en is in de overwegingen mee genomen. Bedenk ook dat het centre of competence op het gebied van security niet in Nijmegen zit.
Als ik het bericht goed begrijp, kopiëert de gegevens gewoon terug op de originele kaart?
Of hij gebruikt een blanco chipkaart, welke eenvoudig te drukken is naar het orinigeel.
Ik vraag me af of het wel nodig is om de encryptie te kraken, als je (net als met cd's) de ruwe data kan copiëren naar een image, en deze op dezelfde manier weg kan schrijven op chip-kaarten, kan je altijd je "volle saldo image" terug zetten.
Ik dacht dat een kaartje Maastricht-Groningen duurder was, de laatste keer dat ik het reisde, en misschien kun je voor die 40 Euro wel meer kaartjes vervalsen?
Ben jij nou zo iemand die tegen wil en dank zijn standpunt wil verdedigen, of ben je werkelijk niet in staat om in te zien dat dit wel erg veel op onzin begint te lijken?
Tja.....
40 euro uitgeven om een kaartje van 0,75 euro te vervalsen? En die onderdelen moet je dan ook nog eerst zelf in elkaar solderen. Ik denk niet dat dit op grote schaal zal gaan gebeuren. Echt waterdichte systemen zijn gewoonweg te duur voor dit soort wegwerpkaartjes.
Mwoeha, grapje zeker, er is 130 miljoen over de balk geflikkerd!
Volgens mij is er helemaal geen afweging gemaakt, dit is gewoon totale incompetentie!
Inmiddels is er 130 miljoen euro uitgegeven aan dit project en we zijn er nog steeds niet!
Dat zijn omgerekend bijna 19 miljoen 15-strippenkaarten!
Maak het openbaar vervoer gewoon gratis of plaats een token/munt automaat bij de ingang en reken gewoon b.v. 1 euro per rit ongeacht de afstand.
Misschien bedoelen ze dat er op enig moment zo'n 10.000 geldige chipkaarten van dat type in omloop kunnen zijn (waarbij de reeds opgebruikte dus niet meer worden meegeteld). Dat zal overeenkomen met een bescheiden deel van het aantal mensen dat er per dag een treinreis maakt.
Zelfs al is het verboden, ik herinner me dat de jongens van proces-techniek vroeger (beertje wordt oud), een lak hadden ontwikkeld die mat was, en die je onzichtbaar op stripkaarten kon aanbrengen, waarna je de stempel met oplosmiddel kon afwassen, en zo een stripkaart, heel lang kon gebruiken.
Dan kan je ook zeggen dat hier scheikundig vernunft voor nodig was, maar de gelakte stripkaarten werden volop verhandeld op de HTS, ondanks dat het verboden was. Die jongens riskeerden een strafblad, maar waren te onnozel om daar de gevolgen van in te zien, ook al zaten ze op de HTS, en waren ze intelligent, was dat geen garantie voor gezond verstand.
Voor zover ik weet is er nooit iemand gepakt hiermee
Tja, maar iemand met zo'n namaak-ov-chipkaart laat die natuurlijk niet zien, maar zoekt omstandig al zijn zakken af en zegt dan dat hij zijn eenmalige chipkaart moet zijn verloren.
Hoe hoog moet de boete voor het niet kunnen tonen van de chipkaart wel niet zijn voordat het gratis reizen met een gekraakte kaart niet meer uit kan?
En wat zullen eerlijke reizigers, die hun chipkaart werkelijk zijn verloren, er dan wel van vinden als ze daarvoor zo'n hoge boete moeten betalen?
Ben je mal, doe mij maar zo'n systeem en dan wordt gratis openbaar vervoer gerealiseerd. Kan ik vast een enkeltje bestellen?
TransLink komt zo onprofessioneel over. Steeds proberen de indruk te wekken dat het wel meevalt. Dat moet je niet doen. Les 1 in crisiscommunicatie is dat je open moet zijn. Daarnaast hebben ze ook geen respect voor de privacy wetgeving. Het komt al met al over als een stelletje amateurs.
Waarom kijken we niet wat het beste systeem is dat in het buitenland succesvol wordt toegepast? Gewoon dat systeem kopen. Kan nooit duurder zijn dan zelf een wiel uit te vinden met een paar flinke slagen er in.
Wie herinnert zich de paspoort affaire nog?
Dat van die 'maar 10.000' snap en geloof ik ook niet. De wegwerp kaart is toch de kaart die toeristen en incidentele OV gebruikers straks gebruiken? Of moet elke toerist eerst ergens een kaartje met pasfoto laten maken?
Denk jij dat criminelen die pin-kaart magneetstrips kopiëren begrijpen hoe dat werkt? Ze hebben gewoon een trucje geleerd, dat is alles. En zoals gebruikelijk zijn er altijd mensen die dit commercieel gaan verkopen aan mensen die niet de nodige kennis hebben om het zelf te doen.
Even een kastje in elkaar zetten en dan te koop aanbieden op e-bay of een andere online marktplaats.
Voor zover ik weet is het is verboden om een kaart te vervalsen maar niet om de middelen daarvoor te maken of in huis te hebben.
Baanbehoud is het volgens mij niet. Als je kijkt in bijvoorbeeld Engeland staat bij elk poortje wel een mannetje wat de deur moet open doen als het kaartje weer eens niet werkt of voor rolstoellers etc. Een kaartje in de Tram kopen moet nog steeds kunnen.
Daarbij krijg je een grote onderhoudsploeg die de apparaten moet onderhouden.
Zou mij niets verbazen als er netto neer mensen nodig zijn.
De in Nijmegen gekraakte kaart is een eenvoudige uitvoering voor één of enkele reizen. Daarvan was bekend dat de beveiliging heel zwak was. Bij alle ophef moeten we niet vergeten dat de chipkaart controle niet overbodig maakt. Bij abonnementen zal gecontroleerd moeten worden of de reiziger ook echt de abonnementhouder is etc. Bij een dergelijke controle zullen veel valse kaarten door de mand vallen.
De Duitse kraak toonde aan dat de beveiliging van die kaart veel lager was dan door de fabrikant gesuggereerd, een veel voorkomend euvel bij beveiliging door een geheim ontwerp. Dergelijke fouten leiden meestal tot grote problemen. Je kunt het vergelijken met normale sloten die achteraf kinderlijk eenvoudig te openen zijn.
Weer 130 miljoen. Tezamen met de al miljarden subsidie en de giga kosten om toch vooral betaald OV te behouden. Alles bij elkaar opgeteld en andere belangen meegwogen, maak het nou gewoon gratis. Goedkoper, efficienter, veiliger en beter voor het milieu m.i.
Denk jij niet dat de benodigde trucjes zich niet razendsnel zal verspreiden?
Denk jij dat criminelen die pin-kaart magneetstrips kopiëren begrijpen hoe dat werkt? Ze hebben gewoon een trucje geleerd, dat is alles.
Inderdaad zou die miljoenen investering in alle stations met hekjes, etc, controles grotendeels overbodig maken, al vind ik als reiziger, het idee dat je in een trein zit opgesloten zonder enige bescherming niet fris. Niet dat je veel hebt aan een conducteur, maar hij kan toch de politie bellen, de trein tot stilstand brengen, etc. en dat weerhoudt menig snoodaard van misselijke plannetjes.
Zoals ik het rapportje lees is in dit specifieke geval niet de cryptografiosche content gekraakt maar is er simpelweg een copie gemaakt van de transmissie data. Dat is net zoiets als het fotocopieeren van de oude strippenkaart. In beide gevallen is dat dus, net als het namaken van geld strafbaar. Om dit kunstje uit te halen moet je nog al wat electronica kennis in huis hebben.
Zoals bij al dit soort systemen is er een afwegeing gemaakt tussen beveiliging en de kosten. Zolang de verliezen door valsspelers lager zijn dan de kosten van een beter systeem is het economisch gezien beter te leren leven met een paar promille valse kaartjes. Dat is ook precies de reden waarom de grote creditcard maatschappijen nog steeds geen smartcards gebruiken.
Het is slechts een gevalletje van een journalsit die niet gehinderd wordt door enige kennis van zaken en het niet in het juiste perspectief weet te plaatsen. Niets aan de hand dus.
De reactie van de OV chip organisatie was sowieso bijzonder slecht, namelijk:
a) ze kunnen worden gepakt bij controles
b) er zijn maar 10.000 van dit soort kaarten in omloop, de miljoenen andere zijn veilig.
Maar:
a) Inderdaad zouden controles juist niet/veel minder nodig moeten zijn met de OV chip.
b) Het maakt niet uit of er maar 10.000 van in omloop zijn, gratis reizen is gratis reizen.
Ik denk dat die organisatie hun producten maar eens goed moet laten doorlichten door externe experts. Voor zover ik weet is dat niet gebeurt en vertrouwen ze eerder, zoals ook die stemcomputer leverancier bijvoorbeeld, op security by obscurity. En met chip kaarten die op grote schaal gebruikt gaan worden, weet je dat die beveiligingsmethode niet lang houdbaar is.
Er gaan wel meer ICT-projecten op de schop bij onze regering. Jaarlijks gaan er op deze manier honderden miljoenen zo de sloot in.
Volgens mij moeten ze het gewoon bij de ouderwetse kaartjes houden. Sterker nog, bijna elk land werkt met stationspoortjes, alwaar je alleen met een geldig kaartje doorheen kan. Het Hollandsch systeem van kaartcontrole in de trein/tram/metro/bus is een zwaar verouderd systeem. Dat we hieraan vasthouden is niets meer of minder dan baanbehoud voor een aantal mensen.
Ik las vanochtend in de krant dat dit een "ethische hack" genoemd werd en dat de dader(s) nog altijd gepakt kunnen worden voor zwart rijden...
Heet dit niet symptoombestrijding? Het is toch de bedoeling dat er door deze OV kaart minder gecontroleerd moet worden?
Of deze chipkaart moet verdwijnen of er wordt een nieuwe zware codering toegepast.
Het is toch te bezopen voor worden dat er zoveel geld in dit project is gestopt, om er vervolgens achter te komen dat er met zwaar verouderde technieken is gewerkt. En dat voor een systeem dat wel 10 jaar mee moet gaan.
Ik denk dat de invoering in 2009 ook niet te halen is.
Reageer
Preview